Các nhà nghiên cứu bảo mật tại PeckShield cho biết ứng dụng tài chính phi tập trung (DeFi) Deus Finance đã bị khai thác lần thứ hai trong hai tháng, với việc kẻ tấn công thu được hơn 13,4 triệu đô la tiền điện tử vào đầu giờ Châu Á hôm nay, các nhà nghiên cứu bảo mật tại PeckShield cho biết trong một tweet . Việc khai thác xảy ra trên Mạng Fantom.
-
Deus cho phép các nhà phát triển xây dựng các dịch vụ tài chính như giao dịch hợp đồng tương lai, cho vay và quyền chọn trên nền tảng của nó. Tiết lộ: Người viết báo cáo này là nhà cung cấp thanh khoản cho Deus trên Ethereum, Fantom và BNB Chain.
-
Cuộc tấn công đã sử dụng một khoản vay nhanh để đánh lừa cách các hợp đồng thông minh của Deus đọc dữ liệu trên các bể thanh khoản của nền tảng. Điều này cho phép kẻ tấn công thổi phồng giả tạo giá trị của một số tài sản, vay tiền và kiếm lợi nhuận sau khi hoàn trả khoản vay.
-
Khoảng 143 triệu đô la đã được vay dưới dạng một khoản vay nhanh, dữ liệu blockchain dường như hiển thị. Tin tặc đã có thể kiếm được 13,4 triệu đô la. PeckShield cho biết tổng số tổn thất đối với giao thức có thể cao hơn nhiều.
-
Hệ sinh thái Deus bao gồm hai mã thông báo: DEUS và DEI. DEUS là mã thông báo quản trị trên nền tảng. Minting DEI, một stablecoin được chốt tỷ lệ 1: 1 với đô la Mỹ, đốt DEUS và đổi DEI bằng bạc DEI, theo tài liệu của nhà phát triển .
-
Lần khai thác hôm thứ Năm là lần thứ hai trong hai tháng trên giao thức, bị tấn công theo cách tương tự vào tháng Ba với giá 3 triệu đô la.
Cuộc tấn công diễn ra như thế nào
Bằng cách sử dụng khoản vay nhanh, những kẻ tấn công của Deus có thể tạm thời thao túng giá trên một nhóm thanh khoản bao gồm stablecoin USD (USDC) và DEI, đồng thời sử dụng giá DEI bị thao túng để vay và rút tiền nhóm.
Các khoản vay nhanh cho phép người dùng DeFi vay hàng triệu đô la không có tài sản thế chấp. Đây không phải là tiền ảo hay tiền miễn phí: Khoản vay phải được hoàn trả trước khi giao dịch kết thúc hoặc hợp đồng thông minh sẽ đảo ngược giao dịch – như thể khoản vay chưa bao giờ tồn tại.
Mặt khác, các nhóm thanh khoản, chẳng hạn như nhóm USDC và DEI trên Deus, dựa vào cái gọi là các kỳ tích để đảm bảo chúng luôn được định giá chính xác và mọi khoản vay đều nằm trong giới hạn không vượt quá tổng giá trị của các nhóm đó . Oracles là công cụ dựa trên blockchain cung cấp các hợp đồng thông minh với thông tin bên ngoài đáng tin cậy. Những điều này là bắt buộc vì các blockchain có thể lưu trữ dữ liệu một cách bất biến, nhưng không thể xác minh xem dữ liệu đầu vào có chính xác hay không.
Vào thứ Năm, những kẻ tấn công đã có thể vay một khoản vay chớp nhoáng hơn 143 triệu USDC và sử dụng số tiền đó để hoán đổi 9,5 triệu DEI, theo PeckShield . Điều này khiến giá DEI đột nhiên trở nên đắt hơn so với tỷ giá hối đoái thông thường là 1 đô la.
Làm thế nào mà hacker kiếm được với 13,4 triệu đô la. (PeckShield)
Sau đó, kẻ tấn công đã sử dụng khoảng 71.000 DEI để vay hơn 17,2 triệu DEI bằng cách sử dụng giá bị thao túng. Khoản vay chớp nhoáng sau đó đã được hoàn trả và kẻ tấn công đã bỏ túi 13,4 triệu đô la.
Dữ liệu của CoinGecko cho thấy giá DEUS giảm 16,5% trong 24 giờ qua. Phần lớn các khoản lỗ này đến sau khi việc khai thác được công khai. Deus đã không trả lời yêu cầu bình luận vào thời điểm xuất bản.
